Giriş
Son zamanlarda, macOS kullanıcılarına yönelik yeni bir kampanya, Atomic Stealer kötü amaçlı yazılımını dağıtmak için Script Editor uygulamasını kullanıyor. Bu durum, kullanıcıların dikkatli olmalarını ve siber güvenlik önlemlerini artırmalarını gerektiriyor.
Saldırı Nasıl Çalışıyor?
Kampanya, ClickFix saldırı tekniği kullanarak kullanıcıları sahte Apple temalı web sitelerine yönlendiriyor. Bu siteler, kullanıcıların Mac bilgisayarlarında disk alanını geri kazanmasına yardımcı olmak için tasarlanmış gibi görünse de, aslında aşağıdaki hedeflere ulaşmayı amaçlıyor:
- Kullanıcıları, önceden doldurulmuş çalıştırılabilir kodla birlikte Script Editor’ü başlatmaya yönlendirmek.
- Obfuscate edilmiş ‘curl | zsh’ komutunu çalıştırarak sistem belleğinde bir script indirmek ve çalıştırmak.
- Son aşamada, Atomic Stealer (AMOS) olarak tanımlanan Mach-O binary’sini indirmek ve yüklemek.
- Bu binary, kullanıcıların Keychain’inde, masaüstünde, tarayıcı kripto para cüzdan uzantılarında ve diğer hassas veri alanlarında saklanan bilgilere erişim sağlamaktadır.
- Geçtiğimiz yıl AMOS, uzaktan erişim sağlayan bir arka kapı bileşeni ekleyerek, saldırganların ele geçirilmiş sistemlere kalıcı erişim elde etmesine olanak tanımıştır.
Etkilenen Sistemler
Bu kampanyada etkilenebilecek sistemler arasında, macOS işletim sistemi yüklü cihazlar bulunmaktadır. Özellikle, kötü niyetli kod, aşağıdaki verileri hedef alır:
- Keychain’de saklanan hassas bilgiler
- Tarayıcıda bulunan kripto para cüzdan uzantıları
- Autofill verileri ve şifreler
- Kaydedilmiş kredi kartı bilgileri
- Sistem bilgileri
Çözüm ve Korunma
Kullanıcıların Script Editor talimatlarını yüksek riskli olarak değerlendirmeleri ve bunları çalıştırmadan önce tam olarak ne yaptıklarını anlamaları gerekmektedir. Aşağıdaki önlemleri alarak korunma sağlanabilir:
- Script Editor’den gelen bildirimlere dikkat edin ve yalnızca güvenilir kaynaklardan gelen komutları çalıştırın.
- macOS için resmi belgeler dışındaki kaynaklardan gelen herhangi bir bilgiye itibar etmeyin.
- Apple Destek Toplulukları’ndan faydalanarak, kullanıcı geribildirimlerine göre resmi bilgiler alın.
Sonuç
Mac kullanıcıları, sistemlerini güvende tutmak için güncellemeleri düzenli olarak kontrol etmeli, gereksiz portları kapatmalı ve bilinmeyen kaynaklardan gelen Script Editor komutlarını asla çalıştırmamalıdır. Siber güvenlik bilincinizi artırın ve özellikle sahte web sitelerine karşı dikkatli olun.
